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Verfahren und Chipeinheit zum Uberwachen des Betriebs einer MikrocontroUereinheit 
Technisches Gebiet 

5 Die vorliegende Erfmdung betriffl ein Verfahren zum tJberwachen des Betriebs minde- 
stens einer fur mindestens eine Applikation vorgesehenen, einem System zugeordneten 
MikrocontroUereinheit. 

Die vorliegende Erfindung betrifft des weiteren eine Chipeinheit, insbesondere System- 
10 chipeinheit, zum tfberwachen des Betriebs mindestens einer flir mindestens eine Appli- 
kation vorgesehenen MikrocontroUereinheit sowie ein zugeordnetes System, insbeson- 
dere Steuersystem. 

Stand der Technik 

15 

Eines der wichtigsten Hardwaresignale in einem Steuergerat ist das Rilcksetzsignal 
(sogenanntes Reset-Signal), das dazu dient, die Applikationshardware im Falle von 
Systemfehlem zuriiclczusetzen. In einigeri Anwendungen ist auch bewusst ein Rtick- 
setzen der Hardware durch den Anwender vorgesehen, zum Beispiel um Programmteile 
20 mit einem geordneten Zustand der Software in einem Mikrocontroller zu starten. 

In bezug auf vorbeschriebenes Riicksetzen gibt es in bestehenden Anwendungen 
allerdings keine Ruckmeldung, ob dieses Riicksetzen des MikrocontroIIers wirklich 
erfolgt ist oder ob etwa die Rticksetzleitung zum Mikrocontroller unterbrochen ist; 
25 gemSB dem Stand der Technik k5nnen derartige Unterbrechungen in der 
Rticksetzleitung also nicht erkannt werden* 
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In diesem Zusammenhang hilft selbst die sogenannte "Watchdog"-Funktion bestehender 
Systemchips nicht; wenn beispielsweise der Systemchip im laufenden Betrieb einen 
Reset auslost, dieses RUcksetzsignal jedoch aufgrund einer Unterbrechung der Leitung 
nicht beim Mikrocontroller ankommt, so wird der MikrocontroIIer das Oberwachungs- 
5 modul (= sogenannter "Watchdog-Block") im Systemchip einfach weiter bedienen, und 
die Software wird somit einfach weiterlaufen, als ob es hier keinen Reset gegeben hatte; 
mithin laufen die Applikationssoftware und das tTberwachungsmodul im Systemchip 
dann asynchron zueinander, und die Systemsicherheit ist nicht mehr gewahrleistet. 

10 Darstellung der Erfindung: Aufgabe, Losung, Vorteile 

Ausgehend von den vorstehend dargelegten Nachteilen und Unzuianglichkeiten sowie 
unter Wtirdigung des umrissenen Standes der Technik liegt der vorliegenden Erfindung 
die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art sowie eine Chipein- 
15 heit der eingangs genannten Art so weiterzubilden, dass ein Versagen der Rucksetz- 
fiinktion in zuverlassiger Weise erkennbar ist und die systembedingt erforderlichen 
Konsequenzen gezogen werden konnen. 

Diese Aufgabe wird durch ein Verfahren mit den im Anspruch 1 angegebenen Merkma- 
20 len sowie durch eine Chipeinheit mit den im Anspruch 4 angegebenen Merkmalen 

gelost. Vorteilhafte Ausgestaltungen und zweckmaBige Weiterbildxmgen der vorliegen- 
den Erfindung sind in den jeweiligen UnteransprUchen gekennzeichnet. 

Mithin basiert die vorliegende Erfindung darauf, dass dem Mikrocontroller mindestens 
25 ein Uberwachungsmodul zugeordnet wird; diesem tJberwachungsmodul wird ein 
erfolgtes Rucksetzen ("Reset") der Mikrocontrollereinheit mittels mindestens eines 
Bestatigungssignals quittiert bzw. signalisiert. 

GemaB der Lehre der vorliegenden Erfindung wird des weiteren vorgeschlagen,.das 
30 mindestens eine Oberwachungsmodul in der Applikation, insbesondere in mindestens 
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einer Chipeinheit, im speziellen in mindestens einer Systemchipeinheit (= sogenannter 
S[ystem]B[asis]C[hip]), bereitzustellen; mithin liegt erfmdungsgemaJJ ein Systemchip 
mit Reset-Handshake, das heiJJt mit Quittierung fUr die RUcksetzfunktion vor. 

5 In einer bevorzugten Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, 
beim Triggem des "Watchdog"-t)berwachungsmoduls verschiedene Signale bzw. 
verschiedene Codes zu verwenden. In AbhSngigkeit von der Historic, die zu einem 
Reset gefiihrt hat, muss der ApplikationsmikrocontroUer verschiedene Signale bzw. 
verschiedene Codes einsetzen, urn dem Systemchip zu bestatigen, dass er einen 
1 0 ordnungsgemaUen Reset erfahren hat. 

Damit unterscheidet sich der normale zyklische Zugriff auf den Watchdog-Block von 
einem Zugriff nach erfolgtem Reset-Ereignis; gibt also beispielsweise der Systemchip 
ein Reset-Signal an die Applikation ab, so muss die Applikation einmalig mit einem 
1 5 besonderen, abweichenden Signal bzw. Code reagieren. 1st dies nicht der Fall, so ist 
davon auszugehen, dass die Reset-Leitung in der Applikation unterbrochen oder 
anderweitig gestort ist. Der Systemchip kann dann zum Beispiel einen fehlersicheren 
Modus mit geringer Stromaufiiahme anfahren. 

20 GemaB bevorzugter Ausgestaltungsformen der vorliegenden Erfindimg gibt es in der 
Praxis verschiedene MSglichkeiten, einen Watchdog-Block zu fcriggern. Im einfachsten 
Falle wird ein Hardwaresignal direkt von der MikrocontroUereinheit an den Watchdog- 
Block gefUhrt, das zyklisch mit einem Puis beaufschlagt wird; bei komplexeren 
Systemchips hingegen wird mindestens eine serielle Schnittstelleneinheit (= "serielles 

25 Interfece") zum Triggern des Watchdog-Blocks eingesetzt. 

Unabhangig von der Art der Triggerung ist es mOglich, erfindungsgemSB Unterschei- 
dungen der Triggerereignisse vorzunehmen. Bei Verwendung von Hardwaresignalen 
kSnnen zweckmSBigerweise Pulskodierungen eingesetzt werden. Weiterhin besteht die 
30 Mfiglichkeit, mehrere Triggersignalleitungen zu schalten. Ftir Systemchips mit seriellem 
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Interface bietet es sich an, verschiedene serielle Worte zu verwenden, um die 
Watchdog-Zugriffe zu unterscheiden. 

Gemafl der vorliegenden Erfindung stehen dam Anwender alle erforderlichen Kompo- 
5 nenten zur Verfugung, um ein fehlersicheres System zu entwickeln. Besonders 

voiteilhafl ist die Flexibilitat des vorliegenden Ansatzes, weil keine fest vorgegebenen 
Automatismen im S[ystem]B[asis]C[hip] eingebaut werden miissen. Das Sicherheits- 
konzept flir eine Applikation ist so optimal anpassbar und kann vom Anwender in 
beliebiger Weise definiert und/oder in beliebiger Weise skaliert werden. 

10 

Die vorliegende Erfindung betrifft schlieBlich die Verwendung eines Verfahrens gemSB 
der vorstehend dargelegten Art und/oder mindestens einer Chipeinheit gemai3 der vor- 
stehend dargelegten Art zum tJberwachen des Betriebs mindestens einer ftir mindestens 
eine Applikation vorgesehenen Mikrocontrollereinheit in der Automobilelektrbnik, 
15 insbesondere in der Elektronik von Kraftfiahrzeugen. 

Kurze Beschreibung der Zeichnungen 

Wie bereits vorstehend erOrtert, gibt es verschiedene MOglichkeiten, die Lehre der 
20 vorliegenden Erfindung in vorteilhafler Weise auszugestalten und weiterzubilden. 
Hierzu wird einerseits auf die den Ansprttchen 1 und 4 nachgeordneten Ansprliche 
verwiesen, andererseits werden weitere Ausgestaltungen, Merkmale und Vorteile der 
vorliegenden Erfindung nachstehend anhand der durch Figur 1 veranschaulichten 
exemplarischen Implementierung gemaB einem Ausfuhrungsbeispiel naher erlSutert. 

25 

Es zeigt: 

Fig. 1 in schematischer Blockdarstellung ein Ausfilhnmgsbeispiel fUr ein System mit 
Chipeinheit und mit Mikrocontrollereinheit gemaB der vorliegenden Erfindung. 

30 
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Bester Weg zur Ausfiihrung der Erfindung 

In Figur 1 ist schematisch ein Steuersystem 100 dargestellt, das neben einer eine 
5 Versorgungseinheit 3 10 (= "supply VDD"), einen Reset 320 sowie ein l[nput]/0[utput]- 
Modul 330 aufweisenden MikrocontroUereinheit 300 eine Systemchipeinheit 200 (= 
sogenannter S[ystem]B[asis]C[hip]) zum Oberwachen des Betriebs der fttr eine 
Applikation vorgesehenen MikrocontroUereinheit 300 axxfweist. 

10 Hierzu waist der Systemchip 200 unter anderem ein Oberwachungsmodul 10 (= 

"Watchdog" -Block) auf, dem ein erfolgtes Riicksetzen ("Reset") der MikrocontroUer- 
einheit 300 mittels eines Bestatigungssignals quittiert werden kann, so dass eine soge- 
nannte "Reset-Handshake"-Funktionalitat implementiert ist; dies bedeutet mit anderen 
Worten, dass der Watchdog-Block 10 nach Ausgabe eines Reset eine Bestatigimg des 

1 5 Reset-Ereignisses von der Applikation bekommt; somit ermOglicht das in Figur 1 
gezeigte Oberwachungsmodul 10 das Ermitteln und Erfassen unterbrochener 
Rucksetzleitungen 42. 

In diesem Zusammenhang unterstutzt der Systemchip 200 ein vom normalen Betrieb 
20 abweichendes Triggersignal bzw. einen vom normalen Betrieb abweichenden Trigger- 
code, um den Erfolg des Reset von der Applikation zu bestatigen; demzufolge ist ein 
Versagen der Rucksetzfiinktion in zuverlassiger Weise erkeimbar, insbesondere ist 
erkennbar, ob das Applikationssystem-Rtlcksetzsignal erfolgreich empfangen wurde 
Oder nicht. 

25 

In der Implementierung gemSB Figur 1 kann vorgesehen sein, dass der Systemchip 200 
nach der Ausgabe des Reset nur einmalig ein abweichendes Triggersignal erlaubt; wenn 
der Reset nicht einmalig mit dem abweichenden Triggersignal quittiert wird oder wenn 
das abweichende Triggersignal ohne vorherigen Reset empfangen wird, fahrt der 
30 Systemchip 200 einen fehlersicheren Zustand an, um ein potentielles weiteres 
Fehlverhalten der Applikation auf jeden Fall zu vermeiden. 
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Da es der Systemchip 200 eriaubt, verschiedene Riicksetzereignisse ("Reset-Ereignis- 
se") zu unterscheiden und fiir den Applikationsmikrocontroller 300 zugSnglich zu 
machen, weist der Systemchip 200 eine in bezug auf verschiedene Riicksetzereignisse 
5 vorgesehene Informationseinheit 20 (= "reset source information") sowie eine mit der 
MikrocontroUereinheit 300 in Verbindung 42 stehende RUcksetzeinheit 40 (= "system 
reset") auf (-> "Reset" 320 der MikrocontroUereinheit 300). 

Zum Austausch der Informationen und Signale ist dem Oberwachungsmodul 10 sowie 
10 der Informationseinheit 20 eine Schnittstelleneinheit 30 (= "interface") vorgeschaltet (— 
> I[nput]/0[utput]-Modul 330 der MikrocontroUereinheit 300), 

Wie des weiteren aus der Darstellung der Figur 1 hervorgeht, ist dem Oberwachungs- 
modul 10 sowie einer mit der MikrocontroUereinheit 300 in Verbindung 52 stehenden 

1 5 Versorgungseinheit 50 (= "microcontroUer supply") permanent mindestens eine 

Batterieeinheit 400 zugeordnet. Wahrend das Oberwachungsmodul 10 permanent von 
der Batterie 400 versorgt ist, kann die Versorgungseinheit 50 iiber einen Schalter 54 an- 
und ausgeschaltet werden, so dass der MikrocontroUereinheit 300 tlber die Versor- 
gungseinheit 50 eine temporare Energieversorgung zugeordnet ist (— > "supply VDD" 

20 310 der MikrocontroUereinheit 300). 
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RRZT JGSZETCHENLISTE 

100 System, insbesondere Steuersystem 

1 0 Oberwachungsmodul, insbesondere Watchdog-Einheit 

5 12 Verbindung zwischen Oberwachungsmodul 10 und Informationseinheit 20 

20 Informationseinheit 

24 Verbindung zwischen Informationseinheit 20 und Rttcksetzeinheit 40 

3 0 Schnittstelleneinheit 

32 Verbindimg, insbesondere Signalleitung, zwischen Schnittstelleneinheit 30 und 

10 Mikrocontrollereinheit 300 

40 Rttcksetzeinheit 

42 Verbindung zwischen Rttcksetzeinheit 40 und Mikrocontrollereinheit 300 

50 Versorgungseinheit 

52 Verbindung zwischen Versorgungseinheit 50 und Mikrocontrollereinheit 300 

15 54 Schalter der Versorgungseinheit 50 

200 Chipeinheit, insbesondere Systemchipeinheit 

300 Mikrocontrollereinheit, insbesondere ApplikationsmikrocontroUer 

310 Versorgungseinheit der Mikrocontrollereinheit 3 00 

320 Reset der Mikrocontrollereinheit 3 00 

20 330 I[nput]/O[utput]-Modul der Mikrocontrollereinheit 300 

400 Batterieeinheit 
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Verfahren zum Uberwachen des Betriebs mindestens einer fUr mindestens eine 
Applikation vorgesehenen, einem System (100) zugeordneten Mikrocontroller- 
einheit (300), 
dadurch gekennzeichnet. 

dass der MikrocontroUereinheit (300) mindestens ein Cberwachungsmodul (10) 
zugeordnet wird und 

dass dem Uberwachungsmodul (10) ein erfolgtes Rttcksetzen ("Reset") der 
MikrocontroUereinheit (300) mittels mindestens eines Bestatigungssignals 
quittiert wird. 



2. Verfahren gemSB Anspruch 1, 
dadurch gekennzeichnet, 
dass das Bestatigungssignal 

durch mindestens ein vom normalen Betrieb der MikrocontroUereinheit (300) 
1 5 abweichendes Triggersignal bzw. Triggercode gebildet und/oder 

nur einmalig durch das Uberwachimgsmodul (10) zugelassen wird. 

3. Verfahren gemafi Anspruch 1 oder 2, 
dadurch gekennzeichnet 

20 - dass in bezug auf den Betrieb der MikrocontroUereinheit (300) verschiedene 
Racksetzereignisse ("Reset-Ereignisse") unterschieden werden und 
dass diese verschiedenen Rticksetzereignisse dem Cberwachungsmodul (1 0) 
mittels unterschiedlicher BestStigungssignale quittiert werden. 
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4. Chipeinheit (200), insbesondere Systemchipeinheit, zum Oberwachen des 
Betriebs mindestens einer fiir mindestens eine Applikation vorgesehenen 
Mikrocontrollereinheit (300), 
gekennzeichnet durch 
5 - mindestens eine mit der Mikrocontrollereinheit (300) in Verbindung (42) 

stehende Rticksetzeinheit (40) zum Rticksetzen ("Reset") der Mikrocontroller- 
einheit (300) sowie 

mindestens ein der Mikrocontrollereinheit (300) zugeordnetes Oberwachungs- 
modul (10), dem ein erfolgtes Rticksetzen der Mikrocontrollereinheit (300) 
10 mittels mindestens eines Bestatigungssignals quittierbar ist. 



5. Chipeinheit gemafi Anspruch 4, 
gekennzeichnet durch 

mindestens eine in bezug auf verschiedene RUcksetzereignisse ("Reset-Ereig- 
15 nisse") vorgesehene Informationseinheit (20) sowie 

mindestens eine mit der Mikrocontrollereinheit (300) in Verbindung (52) 
stehende Versorgungseinheit (50). 



6. Chipeinheit gemSB Anspruch 4 oder 5, 
20 dadurch gekennzeichnet. 

dass das Oberwachungsmodul (10) mittels mindestens einer Schnittstellenein- 
heit (30) triggerbar ist und/oder 

dass zum Unterscheiden der jeweiligen Zugriffe auf das Oberwachungsmodul 
(10) verschiedene Rttcksetzereignisse durch unterschiedliche Triggerwerte 
25 markierbar sind. 



7. 



Chipeinheit gemafl mindestens einem der Anspruche 4 bis 6, 
dadurch gekennzeichnet. 

dass die Chipeinheit (200) in einen fehlersicheren Modus iibergeht. 
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wenn das Rticksetzen der MikrocontroUereinheit (300) nicht einmalig mittels 
des Bestatigungssignals quittiert wird und/oder 

wenn die Chipeinheit (200) das Bestatigungssignal ohne zuvor erfolgtes 
Rilcksetzen empfangt, 

wobei im fehlersicheren Modus insbesondere eine geringere Stromaufhahme als 
im nonnalen Betrieb erfolgt. 

Chipeinheit gemSfi mindestens einem der Ansprttche 4 bis 7, 
dadurch gekennzeichnet, 

dass zwischen dem Oberwachungsmodul (10) und der MikrocontroUereinheit 
(300) mindestens eine Signalleitung (32) zum Obertragen des Bestatigungs- 
signals, insbesondere des vom normalen Betrieb der MikrocontroUereinheit 
(300) abweichenden Triggersignals bzw. Triggercodes, vorgesehen ist. 

System (100), insbesondere Steuersystem, 
gekennzeichnet durch 

mindestens eine fiir mindestens eine Applikation vorgesehene MikrocontroUer- 
einheit (300) sowie durch mindestens eine Chipeinheit (200) gemSB mindestens 
einem der Ansprttche 4 bis 8. 

Verwendung eines Verfahrens gemalJ mindestens einem der Anspriiche 1 bis 3 
und/oder mindestens einer Chipeinheit (200) gemaifi mindestens einem der 
AnsprUche 4 bis 8 zum Uberwachen des Betriebs mindestens einer fUr 
mindestens eine Applikation vorgesehenen MikrocontroUereinheit (300) in der 
Automobilelektronik, insbesondere in der Elektronik von Kraflfahrzeugen. 
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ZUSAMMENFASSUNG 

Verfahren und Chipeinheit zum ttberwachen des Betriebs einer MikrocontroUereinheit 

Um ein Verfahren sowie eine Chipeinheit (200) zum Oberwachen des Betriebs 
mindestens einer fiir mindestens eine Applikation vorgesehenen, einem System (100) 
5 zugeordneten MikrocontroUereinheit (300), so weiterzubilden, dass ein Versagen der 
RUcksetzfunktion in zuverlassiger Weise erkennbar ist und die systembedingt 
erforderlichen Konsequenzen gezogen werden konnen, wird vorgeschlagen, 

dass der MikrocontroUereinheit (300) mindestens ein Uberwachungsmodul (10) 

zugeordnet wird \md 

10 - dass dem Oberwachungsmodul (10) ein erfolgtes Riicksetzen ("Reset") der 
MikrocontroUereinheit (300) mitteis mindestens eines BestStigimgssignals 
quittiert wird. 

Fig. 1 
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